open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Germany Internationales Arbeitsrecht Legal Tech

    EU General Data Protection Regulation (GDPR) – countdown of one more year

    Print Friendly, PDF & Email
    EU GDPR

    Die EU-Datenschutz-Grundverordnung – noch ein Jahr bis zur Anwendbarkeit

    – bi-lingual posting / zweisprachiger Beitrag –

    The European General Data Protection Regulation (GDPR) will become applicable throughout the European Union on 25 May 2018, with additional national legislation. By then, companies need to be compliant. The German Bundesrat has recently passed the new Bundesdatenschutzgesetz, which will adapt the European Regulation into national German law. This means that now there is full clarity about the wording of the new law.

    From a practical perspective, the most important changes are:

    • Administrative fines for the companies of up to 10 / 20 Mio EUR or up to 2 / 4 % of the total worldwide annual turnover, whichever is higher
    • Legal claim for data subjects to compensation in case of material and – this is new -immaterial damages
    • All of these changes are made significantly more threatening by the duty for companies to document and be able to demonstrate their data privacy system, which is in effect a reversal of the burden of proof.

    Much has been written about the future changes based on the GDPR and its adaption into German law, such as a blog posting by Till Hoffmann-Remy on the changes for the protection of employee data and by Jan Heuer regarding the need to review and change existing works council agreements to be compliant with future law. In the following, we will give a few highlights with a focus on what needs to be done now.

    • Get an overview:
      • What data have been saved in the company IT by whom, for how long, for what purpose and on which legal basis? Does this include private employee data?
      • What are the data flows to external recipients and third parties inside and outside of the EU?
      • What data processors are acting on behalf of the company?
      • Which data privacy procedures, policies and notices are currently in place?
    • Gap analysis and implementation of changes
      • Housecleaning” of all unrequired data (in an employment context, this includes non-electronic data under German law)
      • Develop new employee/client notices observing the much more detailed information requirements under the GDPR
      • Draft or update IT/data privacy policies
      • Develop and draft a procedure for potential data breaches
      • Create procedures for data subject requests for information, correction and deletion of data (all of which have existed before but will require more detail and need to be taken much more seriously under the GDPR)
      • Implement new technical and organizational measures for technical data safety
      • Update the consent management
      • If legally required and not yet in place, appoint a Data Protection Officer (in Germany, the previous threshold of 10 or more employees with computer access will continue to be applicable)
      • If not yet in place, create a register of all data processing (Records of processing activities)
      • Implement, if required, a procedure for data portability
      • Implement, if required, a data protection impact assessment procedure
      • Review existing works council agreements for compliance with the requirements of the new GDPR, (re)negotiate works council agreements about implementation of all technical systems, all policies and procedures on data privacy

    Die EU-Datenschutzgrundverordnung (DSGVO) wird vom 25. Mai 2018 an in der Europäischen Union anwendbar sein, ergänzt durch nationale Gesetze. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben der DSGVO umgesetzt haben und einhalten. Der Deutsche Bundesrat hat kürzlich dem neuen Bundesdatenschutzgesetz zugestimmt, welches die europäische Verordnung in das deutsche Recht übernehmen wird. Das bedeutet, dass nun Klarheit besteht über den Wortlaut des künftig anwendbaren Rechts.

    Aus praktischer Sicht sind die wichtigsten Veränderungen:

    • Geldbußen für Unternehmen von bis zu 10/20 Millionen Euro oder von bis zu 2/4 % des jährlichen weltweiten Umsatzes, je nachdem was höher ist;
    • Gesetzlicher Anspruch der Betroffenen auf Schadensersatz für materielle und – insoweit neu – immaterielle Schäden;
    • Diese Veränderungen sind für Unternehmen deutlich bedrohlicher als in der Vergangenheit aufgrund der Verpflichtung aus der DSGVO, alle Maßnahmen zur Einhaltung des Datenschutzes zu dokumentieren und darlegen zu können, was einer Beweislastumkehr gleich kommt.

    Es ist viel geschrieben worden über die künftigen Veränderungen aufgrund der DSGVO und ihrer Übernahme in das deutsche Recht, so in einem Blogbeitrag von Till Hoffmann-Remy über die Veränderungen im Beschäftigtendatenschutz und von Jan Heuer über die Auswirkungen des neuen Datenschutzrechts auf existierende Betriebsvereinbarungen. Im Folgenden geben wir einen ersten Einblick, was nun zu tun ist.

    • Einen Überblick bekommen:
      • Welche Daten sind in den IT-Systemen des Unternehmens von wem, für wie lange, für welchen Zweck, auf welcher Rechtsgrundlage gespeichert worden? Gehören hierzu auch private Beschäftigtendaten?
      • Welche Datenflüsse gibt es zu externen Empfängern und Dritten innerhalb und außerhalb der EU?
      • Welche Auftragsdatenverarbeiter sind für das Unternehmen tätig?
      • Welche Verfahren zum Datenschutz, welche Vorschriften und welche Informationsschreiben gibt es bereits?
    • Prüfung auf Anpassungsbedarf und Umsetzung:
      • Gründliches Sichten und ggf. Löschen aller Daten, die nicht mehr benötigt werden (Im Hinblick auf Beschäftigtendaten gehören hierzu nach deutschem Recht auch nicht elektronisch gespeicherte Daten.)
      • Entwickeln von neuen Informationsschreiben an Arbeitnehmer oder Kunden über die gespeicherten Daten unter Berücksichtigung der deutlich gestiegenen Anforderungen nach der DSGVO.
      • Entwerfen oder Aktualisieren von internen IT-/Datenschutzvorschriften (Policies).
      • Entwerfen oder Aktualisieren einer Verhaltensanweisung für etwaige Datenschutzpannen
      • Entwickeln von Verhaltensanweisungen für den Umgang mit Anfragen von Betroffenen nach Information über, Berichtigung von oder Löschung von gespeicherten Daten (All diese Ansprüche gab es bereits zuvor; sie sind aber künftig deutlich detaillierter auszugestalten und ernster zu nehmen.)
      • Einführung oder Aktualisierung von technischen und organisatorischen Maßnahmen zur Gewährleistung von technischem Datenschutz
      • Verfahren zur Speicherung der Einwilligungserklärungen von Beschäftigten, Kunden etc.
      • Soweit rechtlich geboten und noch nicht vorhanden, ist ein Datenschutzbeauftragter zu ernennen. (In Deutschland ist das auch künftig erforderlich in allen Unternehmen, die wenigstens zehn Personen mit Zugang zu einem Computerarbeitsplatz beschäftigen)
      • Soweit noch nicht vorhanden, ist ein Verfahrensverzeichnis zu erstellen
      • Soweit erforderlich, ist ein Verfahren für die Übertragbarkeit von Daten zu entwickeln
      • Soweit erforderlich, ist ein Verfahren für die Datenschutz-Folgenabschätzung bei besonderen Datenverarbeitungsverfahren zu entwickeln.
      • Existierende Betriebsvereinbarungen sind daraufhin durchzusehen, ob sie die Anforderungen der neuen DSGVO erfüllen, ferner sind Betriebsvereinbarungen über die Einführung aller genannten technischen Systeme, Verhaltensanweisungen und Vorschriften (soweit erforderlich, erstmals) zu verhandeln.

     

    Dr. Jessica Jacobi 
    Rechtsanwältin
    Fachanwältin für Arbeitsrecht
    Partner
    Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
    vCard downloaden Dr. Jessica Jacobi  auf Xing Dr. Jessica Jacobi  auf LinkedIn
    Verwandte Beiträge
    Neueste Beiträge Whistleblowing & Investigations

    Vorsicht Falle: Datenschutzfolgenabschätzung VOR Einführung der Whistleblower-Hotline

    Das Fristende naht: Zum 17. Dezember 2023 müssen auch Arbeitgeber mit nur 50 oder mehr Beschäftigten eine Whistleblower Hotline nach dem Hinweisgeberschutzgesetz (HinSchG) eingeführt haben. Für Arbeitgeber mit 250 oder mehr Beschäftigten gilt diese Pflicht bereits seit dem 2. Juli 2023. Zu den Details hatten wir zuletzt in unserem Blog vom 30.10.2023 berichtet: FAQ zum Hinweisgeberschutzgesetz – Teil 2. Was vorher zu tun ist Bei…
    Internationales Arbeitsrecht Neueste Beiträge

    Can employers monitor their employees’ social media posts?

    Increasingly, employers are being made aware of employee misconduct that is evidenced by photos, videos or other social media posts. What are employers allowed to do when it comes to their employees‘ posts, what are the limits, what should they bear in mind when using these posts? Here we consider the situation in Germany, with comments from our experts in 19 other jurisdictions. Employee posts…
    BEMKrankheit Neueste Beiträge Unternehmensführung

    BEM-Verfahren und datenschutzrechtliche Einwilligung: Was müssen Arbeitgeber beachten?

    Mit seinem Urteil vom 15. Dezember 2022 hat das BAG entschieden, dass die (schriftliche) Zustimmung des Arbeitnehmers in die Verarbeitung seiner personenbezogenen und Gesundheitsdaten im Rahmen des Betrieblichen Eingliederungsmanagements (BEM) nicht zur Voraussetzung für dessen Durchführung gemacht werden darf. Der Arbeitgeber ist bei einer fehlenden datenschutzrechtlichen Einwilligung nicht von seiner Pflicht entbunden, auch ohne die Einwilligung in das BEM-Verfahren einzusteigen. Das stellt neue Anforderungen an…
    Abonnieren Sie den KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert